[发明专利]一种基于流的网络节点异常检测方法和系统

说明书

本发明涉及一种基于流的网络节点异常检测方法和系统，所述方法包括：根据待检测节点的历史网络流量数据，获取稳定通信对象集，所述稳定通信对象集包括稳定通信端口集和稳定通信对端集；根据所述稳定通信对象集和待检测节点的历史网络流量数据，获取多维特征统计阈值；获取待检测节点的实时网络流量数据，根据所述多维特征统计阈值对所述待检测节点进行检测和评价。所述方法和系统能够基于形成网络流数据的网络节点，通过对网络流量特征的细致划分，对其可能遭受网络攻击等异常事件，进行实时检测，检测准确率高。

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种基于流的网络节点异常检测方法和系统。

背景技术

随着计算机与网络技术的迅猛发展，互联网用户规模日益增长，中国互联网络信息中心(CNNIC)发布的报告显示，截至2015年12月，我国网民规模已达6.88亿，互联网普及率为50.3％，同时，全国使用互联网办公的企业达89.0％，互联网已成为人们生产生活中不可或缺的重要基础设施。与此同时，网络安全问题日益突出，频繁发生的网络安全事件给互联网带来了巨大威胁。其中，网络攻击和网络窃密是信息系统的重要威胁。造成网络安全事件的异常网络行为，如网络攻击与窃密等，往往涉及到网络流量的异常，因此，通过异常检测，发现网络异常行为，结合相关技术进行异常的响应与处理，维护网络安全，具有十分重要的意义。

目前存在多种网络流量异常检测方法，基于的技术主要包括统计分析、信号处理、机器学习、数据挖掘等。统计分析方法是先通过统计历史流量的一些特征值，如IP数目、流量大小、特定包头数据包的数目等，计算出相应的统计阈值，再根据当前流量特征值与统计阈值的偏差，判断是否异常。基于统计分析的方法对于大规模的流量异常检测较为有效，但传统的方法检测指标单一，可适用性差，对于慢速的攻击与扫描及无明显协议特征区别的异常，缺乏检测能力，特别是，观测到的流量中包含的大量不稳定的正常流量，对异常流量有明显的隐藏作用。基于信号处理的方法将网络流量作为信息流，然后利用信号处理技术来进行异常检测，通常是基于流量特征幅值，对流量幅值变化不明显的隐蔽性攻击检测能力不足。基于机器学习的方法先从已知网络流量中提取训练出能判断异常的自动学习方法，再将其应用于未知流量进行异常检测，传统方法同样存在准确率低的问题。

由此可知，现有的网络异常检测方法所面向的检测对象是其所观测到的所有流量，大量的特征各异且不断变化的不相关的正常流量，导致受害节点的正常流量检测过程难以细化，从而造成了现有的网络异常检测方法的检测准确率低，实用性差。

发明内容

本发明所要解决的技术问题在于，提供一种基于流的网络节点异常检测方法和系统，所述方法和系统能够基于形成网络流数据的网络节点，尤其是网络型服务节点，对其可能遭受网络攻击等异常事件，进行实时检测，检测准确率高。

根据本发明的一方面，提供了一种基于流的网络节点异常检测方法，所述方法包括：

步骤1、根据待检测节点的历史网络流量数据，获取稳定通信对象集，所述稳定通信对象集包括稳定通信端口集和稳定通信对端集；

步骤2、根据所述稳定通信对象集和待检测节点的历史网络流量数据，获取多维特征统计阈值；

步骤3、获取待检测节点的实时网络流量数据，根据所述多维特征统计阈值对所述待检测节点进行检测和评价。

进一步的，所述步骤1包括：

步骤1.1、基于第一时间窗口，统计各通信对象的通信时长和流量均值，所述通信对象包括通信端口和通信对端；

步骤1.2、分别对网络节点的通信端口和通信对端进行聚类划分，得到网络节点的稳定通信端口样本集和稳定通信对端样本集；

步骤1.3、交叉检验所述稳定通信端口样本集和稳定对端样本集，排除异常稳定通信端口样本和异常稳定通信对端样本，从而获取稳定通信端口集和稳定通信对端集。